楼主: ysj963
收起左侧

[讨论] 求介绍BD的ATC原理

  [复制链接]
fireherman
发表于 2016-10-5 02:15:56 | 显示全部楼层
本帖最后由 fireherman 于 2016-10-5 02:18 编辑
ccboxes 发表于 2016-10-5 02:08
首先楼上那几位都在说什么啊。。。。。。。。。。。。。。。。。。。。。
基本没对的。。。。。。。。。。 ...


谢谢科普,可惜我无加分权。

此外要补充一下:

HIPS除了AD,FD,RD外,还有ND(网络防御规则,Net Defend),只是拥有这种规则的杀软很少(Comodo拥有此规则)。
欧阳宣
头像被屏蔽
发表于 2016-10-5 02:26:44 | 显示全部楼层
ccboxes 发表于 2016-10-5 02:08
首先楼上那几位都在说什么啊。。。。。。。。。。。。。。。。。。。。。
基本没对的。。。。。。。。。。 ...

建议你不要太当真,楼主很喜欢把很多概念搞混然后互相套……
超超~.~
发表于 2016-10-5 03:05:39 | 显示全部楼层
fireherman 发表于 2016-10-4 19:20
ATC是【主动防御系统】的一种

HIPS是【主机入侵防御系统】

生动直观,简直不能再影形象了!!
ccboxes
发表于 2016-10-5 04:24:23 | 显示全部楼层
看完了上边的基础知识,现在说一说ATC。

首先,几个共识(如不同意任何一条,可以不必再看):

1.ATC是多步主防;
2.ATC的防御能力至少一流,可称顶尖;
3.ATC有其特点,也有其缺陷。BD作为一流安软,与其他安软一样,与完美相差甚远。


ATC作为一款检出率极高的主防,在运作原理上是特立独行的,由于本人知识所限(高数普通水平,线性代数只会皮毛),只能给出一个极为简单与不精确的猜测,但有些事实是可以确定的。

为方便理解,我们先说说容易理解的普通的、基于逻辑的主防
假设一个恶意软件会格式化整个硬盘,造成无法开机,数据丢失。其行为顺序为:

加载数据到内存虚拟地址空间→加载内核驱动→将CPU由保护模式切换为内核模式→改写底层寄存器→进行底层I/O操作(格式化硬盘)。

而正好启发特征库中有一条叫做Heur.DiskWiper.1的定义,规定按上述行为运行的程序为病毒则主防运行时会:

拦截第一步行为→记录并比对→放行→拦截第二步行为→记录并比对→放行……拦截第五步行为→记录,符合Heur.DiskWiper.1→终止程序运行

就算加入无关行为,或者改变操作顺序(实际上关键操作的顺序不能改变,比如上面这一整套行为,就可以被称作底层磁盘访问的元操作,不能改变顺序),只要在比对算法上花一点心思即可查杀,这就是主防对变种病毒和免杀病毒极高查杀率的来源——让病毒的行为彻底暴露在启发分析之下,看的够清楚,一切都好说


这种依靠预先定义的行为方式来查杀的方式被绝大部分安软所使用,但ATC不同,ATC使用一整套运行在本地的数学方式来评估程序的安全性,通俗的说,就是打分制,程序的分数超过一定值,便终止其运行。BD的白皮书仅仅提到打分制,而实际运作则语焉不详。对于其运行原理,有以下几个事实是可以确认的:
1.ATC的分析与云信誉关系不大,BD从2010年其开始使用基于数学的ATC,其真正成熟是在2012年,自此BD一直保持极高的检出率(之前则不尽理想),而BD的云GPN自2014年中旬才开始运作,但仅仅用于收集样本,其云信誉报法真正出现则是在今年9月。可知BD在云方面实际上是较为落后的,结合个人测试,断网时ATC的检出率也并未受到影响,尤其对白加黑的检测无碍。因此,我认为ATC可能有云联动,但绝不是下载智能分析这种万物杀形式的云信誉检查。

2.所谓的打分,绝不是像通常想象的那样规定某个行为X的分数是a,程序执行这个行为就给它加a分,这样的打分制没有考虑到行为之间的关系——即几个低危险操作的组合可能会造成严重后果。重复执行操作导致分数溢出等问题注定使用这种方式的ATC会成为史上最烂的主防,根据我自己的知识,将行为表示为向量,利用矩阵构建n维空间的办法可以将多步行为对系统的总体影响抽象为n维空间内的图形,接下来就可以使用模糊分析等数学方法来处理变种。这也是本人所学专业中耦合信号处理的常用方法(仅为猜测、猜测)。

3.ATC没有回滚功能(最大的缺憾),相对的,其拦截时间点极为靠前,有些样本仅仅跑出头几个行为便被拦截(但不是运行前就被拦截),很多勒索病毒甚至在触发BD的勒索保护之前就会被ATC击杀,这是我不能解释的,难道使用数学方法可以预测动作?期待有大神解读吧。


ysj963
 楼主| 发表于 2016-10-5 09:33:44 | 显示全部楼层
ccboxes 发表于 2016-10-5 04:24
看完了上边的基础知识,现在说一说ATC。

首先,几个共识(如不同意任何一条,可以不必再看):

牛。。。相当于行为启发,其实我觉得再改进点,多步主防之后超过危险阀值的直接拦截,超过合格阀值的最后一步由用户选择,这样还可以防流氓。不知道流氓软件是不是阀值很低,没什么危险行为就看不出来。也没有技术能识别分离哪些程序是一起的。缺乏行业统一标准。
ysj963
 楼主| 发表于 2016-10-5 10:38:18 | 显示全部楼层
ccboxes 发表于 2016-10-5 04:24
看完了上边的基础知识,现在说一说ATC。

首先,几个共识(如不同意任何一条,可以不必再看):

另外想问下,360的单步主防保护完整吗,有必要再用ESET对它补充吗?断网下360单步主防就等于是让用户自己判断了吗?
fireherman
发表于 2016-10-5 11:10:46 | 显示全部楼层
本帖最后由 fireherman 于 2016-10-5 11:27 编辑
ccboxes 发表于 2016-10-5 04:24
看完了上边的基础知识,现在说一说ATC。

首先,几个共识(如不同意任何一条,可以不必再看):

3.ATC没有回滚功能(最大的缺憾),相对的,其拦截时间点极为靠前,有些样本仅仅跑出头几个行为便被拦截(但不是运行前就被拦截),很多勒索病毒甚至在触发BD的勒索保护之前就会被ATC击杀,这是我不能解释的,难道使用数学方法可以预测动作?期待有大神解读吧。


这个我倒可以理解。




1,首先就是“运行”,即使现在系统已经改变,变得更加直观,更加人性化;但实际上“程序的运行方式其实从来没变过”:程序还是需要【一行一行指令来执行(DOS系统就比较直观,因为DOS是开放系统,还是行执行命令系统)】;所谓的【多线程同步运行(例如一边开着播放器听MP3,一边开着个画板在写写画画),其实也就是“程序一行一行交错地运行”,只不过CPU处理速度非常快,人的感官不觉得是交错,而是同步而已。如果同时运行很多大型程序(如又玩大型3D游戏,又开着几十个视频网页,又开着下载等等;CPU一下子不能负荷,就出现鼠标卡顿、视频卡顿、音频卡顿等(行命令数量太多,所执行的数据还来不及返回))】。

上面这个罗罗嗦嗦的枚举,是为了说明:“一个程序运行时,依然是需要一行一行地去执行它所编写的指令的”。




2,内存。所有程序(.exe, .com 可执行文件)都必须要加载到内存里才能运行,一个程序是无法在磁盘直接执行的;没加载到内存的程序文件(.exe, .com文件)和普通的数据文件(.txt, .mp4, .jpg文件等)没有什么不同,只不过它们“不可读”而已(因为是二进制编码,而不像txt那样是文本编码)。

这点为了说明:“程序必须要经过内存才能运行”。




3,既然知道了【一个程序必须要加载到内存,然后一行一行来执行】,那么ATC击杀就好理解了。(也包括众多的主防)

一个勒索程序加载到内存,一行一行来执行,ATC其实就是一行一行来检查,当某一行指令触发了其(病毒)特征代码,而这一行出现在修改文件的行(命令)之前,BD马上作出反应:把程序从内存里清空(例如程序里的变量、指针等),并删除其行命令(所谓的修复、清除)或者直接删除文件(删除磁盘上的程序文件(上面说过了,没有加载到内存的程序文件只不过是个不可读的数据文档而已))。




主防就可以理解为,一行一行地检测程序所执行的指令,对其有害的指令(依靠特征库等判断)加以阻止的过程。(而因为每个杀软所编写的代码都不同,就导致个体的差异);

PS:ESET就没有在这方面下工夫。


希望我的理解没错,有错也请不要打脸。
fireherman
发表于 2016-10-5 11:20:51 | 显示全部楼层
ysj963 发表于 2016-10-5 10:38
另外想问下,360的单步主防保护完整吗,有必要再用ESET对它补充吗?断网下360单步主防就等于是让用户自己 ...

其实完全不需要安装2个杀软。

所谓的单步主防保护,实际上:ESET的HIPS就能做到(就是所谓的“交互模式”(一步一步地询问))。

当然,你可以通过编写HIPS规则,单纯地、有针对性地指向某个程序(软件),就能达到【单步防护的目的】。
罗曼语
发表于 2016-10-5 11:48:49 | 显示全部楼层
ccboxes 发表于 2016-10-5 02:08
首先楼上那几位都在说什么啊。。。。。。。。。。。。。。。。。。。。。
基本没对的。。。。。。。。。。 ...

科普贴大赞
核弹总裁黄仁勋
发表于 2016-10-5 12:21:47 | 显示全部楼层
fireherman 发表于 2016-10-4 19:20
ATC是【主动防御系统】的一种

HIPS是【主机入侵防御系统】

这个比喻很好
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 14:53 , Processed in 0.093779 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表